Le système crée des certificats requis pour la communication entre les dispositifs NSX Federation et pour la communication externe.

Par défaut, le gestionnaire global utilise des certificats auto-signés pour communiquer avec des composants internes et des gestionnaires locaux enregistrés, ainsi que pour l'authentification pour l'interface utilisateur de NSX Manager ou des API.

Vous pouvez afficher les certificats externes (UI/API) et inter-sites dans NSX Manager. Les certificats internes ne sont pas visibles ou modifiables.

Note : L'activation du VIP externe Gestionnaire local ne doit pas être effectuée avant l'enregistrement de Gestionnaire local sur Gestionnaire global. Lorsque fédération et PKS doivent être utilisés sur le même Gestionnaire local, les tâches PKS pour créer un VIP externe et changer le certificat Gestionnaire local doivent être effectuées avant l'enregistrement de Gestionnaire local sur Gestionnaire global.

Certificats du gestionnaire global et des gestionnaires locaux

Une fois que vous avez ajouté un gestionnaire local au gestionnaire global, tous les certificats qui authentifient le gestionnaire local pour les communications externes et internes sont copiés dans le gestionnaire global et la relation de confiance est établie entre les deux systèmes. Ces certificats sont également copiés dans chacun des sites enregistrés dans le gestionnaire global.

Reportez-vous au tableau suivant pour obtenir la liste de tous les certificats créés pour chaque dispositif à l'aide de NSX Federation et des certificats que ces dispositifs échangent entre eux :

Tableau 1. Certificats du gestionnaire global et des gestionnaires locaux
Convention de dénomination dans le gestionnaire global ou le gestionnaire local Objectif Remplaçable ? Validité par défaut
Les certificats suivants sont spécifiques à chaque dispositif NSX Federation.
APH-AR certificate
  • Pour le gestionnaire global et chaque gestionnaire local.
  • Utilisé pour la communication inter-sites à l'aide du canal AR (canal asynchrone-réplicateur).
Non 10 ans
GlobalManager
  • Pour le gestionnaire global.
  • Certificat PI pour le gestionnaire global.
Oui. Reportez-vous à la section Remplacer des certificats. 825 jours
mp-cluster certificate
  • Pour le gestionnaire global et chaque gestionnaire local.
  • Utilisé pour la communication avec l'interface utilisateur/API avec l'adresse IP virtuelle du gestionnaire global ou du cluster de gestionnaire local.
tomcat certificate
  • Pour le gestionnaire global et chaque gestionnaire local.
  • Utilisé pour la communication avec l'interface utilisateur/API avec des nœuds de gestionnaire global et local individuels pour chacun des emplacements ajoutés au gestionnaire global.
LocalManager
  • Pour le gestionnaire local.
  • Certificat PI pour ce gestionnaire local spécifique.
Les certificats échangés entre les dispositifs NSX Federation sont les suivants.
Convention de dénomination dans le gestionnaire global ou le gestionnaire local Objectif Remplaçable ? Validité par défaut
Code haché, par exemple, 1729f966-67b7-4c17-bdf5-325affb79f4f
  • Échangé entre tous les gestionnaires locaux enregistrés auprès du gestionnaire global.
  • Le certificat PI du gestionnaire global est échangé avec les gestionnaires locaux.
  • Les certificats PI pour chacun des emplacements échangés avec tous les gestionnaires d'emplacement enregistrés.

Non applicable

Site certificate CN=<>,O
  • Échangé entre tous les dispositifs NSX Federation : tous les gestionnaires locaux enregistrés et le gestionnaire global.
  • Tous les types de certificats.

Utilisateurs d'identité de principal (PI) pour NSX Federation

Les utilisateurs d'identité de principal (PI) suivants avec les rôles correspondants sont créés après l'ajout d'un gestionnaire local au gestionnaire global :
Tableau 2. Utilisateurs d'identité de principal (PI) créés pour NSX Federation
Dispositif NSX Federation Nom d'utilisateur PI Rôle d'utilisateur PI
Gestionnaire global LocalManagerIdentity

Un pour chaque gestionnaire local enregistré avec ce gestionnaire global.

auditeur
Gestionnaire local GlobalManagerIdentity Administrateur d'entreprise
LocalManagerIdentity
Un pour chaque gestionnaire local enregistré avec le même gestionnaire global. Utilisez l'API suivante pour obtenir une liste de tous les utilisateurs de PI de gestionnaire local, car ils ne sont pas visibles dans l'interface utilisateur :
GET https://<local-mgr>/api/v1/trust-management/principal-identities
auditeur